Wirtualizacja Bezpieczeństwa Bezpieczeństwo Wirtualizacji Michał Jarski Country Manager Poland, Romania & Bulgaria
Dlaczego wirtualizacja? Ograniczenie kosztów Lepsze wykorzystanie zasobów Elastyczność w dostosowywaniu do dynamiki firmy Mniejsze zapotrzebowanie na miejsce w szafach, prąd, chłodzenie Większa odporność na awarie, szybkie przywracanie działania systemu, DR Gartner otwarcie rekomenduje ewaluację i szybką implementację technologii wirtualizacyjnych dla serwerów i desktopów w celu zachowania konkurencyjności w warunkach kryzysu gospodarczego 2
Wirtualizacja Bezpieczeństwa 3
Wirtualizacja jako odpowiedź na złoŝoność Business-Unit Oriented Networks Site-Oriented Networks Tiered Networks 4
Wirtualizacja Sieciowa Fizyczne Wirtualne Firewall Module Virtual System (VS) Firewall Module in Bridge Mode Virtual System in BridgeMode IP Router Virtual Router (VR) Switch Virtual Switch (V-SW) Network Cable Virtual Cable (warp link) 5
Konsolidacja bezpieczeństwa Oszczędności sprzętowe Uproszczenie zarządzania Dostępność i skalowalność Uproszczenie wdroŝeń 6
Zwirtualizowany firewall w duŝej organizacji EIGRP PF VPN-1 Power VSX 7
Routing dynamiczny w środowisku wirtualnym PF BGP-4 PF PF IGMPv2 PIM-SM 8
Systemy wirtualne w warstwie drugiej Layer-2 Protocols 802.1q 802.1w 802.1D PVST+ 802.1s Marketing Finance HR Executive 9
Kontrola wykorzystania zasobów 50% 5% 5% 15% 10% 15% 10
Virtual System Load Sharing Architecture Virtual Systems are distributed between Cluster members VS1 VS2 Active VS VS3 Standby VS Backup VS Member 1 Member 2 Member 3 11
Virtual System Load Sharing Architecture Each Virtual cluster member Systems has are some distributed of the VSes, between but not Cluster all of them members. VS1 VS2 Active VS VS3 Standby VS Backup VS member 1 member 2 member 3 12
Virtual System Load Sharing Architecture Each Backup Virtual cluster Virtual member Systems has are do some distributed not consume of the VSes, between system but not Cluster all resources of them. members. VS1 VS2 Active VS VS3 Standby VS Backup VS Member 1 Member 2 Member 3 13
Bezpieczeństwo Wirtualizacji 14
ABC wirtualizacji Virtualization Layer Wirtualizacja oddziela fizyczne zasoby od systemu operacyjnego i aplikacji Maszyny wirtualne są zamknięte w plikach systemu goszczącego 15
ABC wirtualizacji Świat nie-wirtualny Infrastruktura wirtualna Exchange File/Print Operating System Operating System Virtualization Operating System Operating System Virtualization CPU Pool Virtual Infrastructure VPN Operating System Operating System Virtualization CRM Operating System Operating System Virtualization Memory Pool Storage Pool Interconnect Pool 16
Tworzenie wirtualnego centrum przetwarzania danych Exchange Operating System File/Print Operating System File/Print VPN Exchange CRM Operating System Operating System Operating System Operating System Virtual Infrastructure VPN Operating System CRM Operating System CPU Pool Memory Pool Storage Pool Interconnect Pool 17
Dynamiczna alokacja zasobów Exchange CRM File/Print APP APP APP APP APP APP APP APP APP Virtual Infrastructure CPU Pool Memory Pool Storage Pool Interconnect Pool 18
Samoleczenie Exchange CRM File/Print APP APP APP APP APP APP APP APP APP Virtual Infrastructure CPU Pool Memory Pool Storage Pool Interconnect Pool 19
VMotion jazda bez trzymanki Dynamiczna migracja VM pomiędzy fizycznymi serwerami bez jakichkolwiek w przerw w pracy aplikacji lub uŝytkowników App App VMotion App App VMware Infrastructure Storage VMotion 20
ZagroŜenia! 21
Nic za darmo Zalety wirtualizacji Efekty uboczne ZagroŜenia bezpieczeństwa Łatwe tworzenie VM Epidemia VM aka VM sprawl Gwałtowne zmiany powodują utratę kontroli nad konfiguracją Konsolidacja wielu fizycznych serwerów Łatwe modyfikacje wirtualnej infrastruktury sieciowej Mobilność daje wysoką wydajność i optymalizację zasobów Hypervisor umoŝliwia konsolidację Ucieczka uŝytkownika z VM do hypervisora Błędy konfiguracyjne Mobilność moŝe naruszyć statyczne bezpieczeństwo Nowa uprzywilejowana warstwa, którą trzeba zabezpieczyć Wrogi VM przejmuje kontrolę nad całym serwerem wirtualizacyjnym Naruszenie separacji stref bezpieczeństwa Utrzymanie izolacji i kontroli nad sieciami Nieuprawniony dostęp do istotnych danych w VM 22
Specyficzne wyzwania dla bezpieczeństwa sieciowego w środowisku wirtualnym Brak widoczności ruchu pomiędzy VM ami w celu monitorowania i ochrony Fizyczne firewalle/ips rujnują zalety wirtualizacji Połączenie statycznych polityk bezpieczeństwa z mobilnością i szybkością pojawiania się VM ów Utrzymanie stanu sesji sieciowej w VMotion Koordynacja pomiędzy administratorami serwerów i sieci 23
Reklama: Check Point VPN-1 VE Certyfikowane VM przez VMware Chroni przed zagroŝeniami zewnętrznymi oraz inter-vm Nie trzeba wdraŝać fizycznych urządzeń bezpieczeństwa i sieciowych Ta sama konsola zarządzająca dla urządzeń fizycznych i środowiska wirtualnego VE zapewnia widoczność zdarzeń wewnątrz środowiska wirtualnego (logi i compliance) Chroni zasoby wirtualizacyjne (np. Service Console) 24
WdroŜenie 25
WdroŜenie Wirtualizacja Data Center 26
W kierunku aplikacyjnej polityki bezpieczeństwa Przed IIS #1 Firewall Load Balancer IIS #2 Firewall Tomcat App Server Oracle Po 27
VMotion & Clustering Internet Pkt pkt pkt ESX server 1 ESX server 2 ext Web ext Vswitch Web Web Web Vswitch Web Vswitch ext VE Active Vswitch sync Sync Sync Vswitch sync VE Standby Active Vswitch ext Vswitch App int Switch int Vswitch App App1 App2 App3 Mgmt 28
Farmy ESX pkt pkt pkt Internet Ext Ext ESX 1 ESX 2 ESX 3 ESX 4 Ext Ext Active Standby Sync App Sync App Sync App 29
Dostawcy Usług Dodanie bezpieczeństwa wirtualizacji do usług in the cloud Ochrona za pomocą Check Point VPN-1 VE VPN-1 VE dla klienta VPN-1 VE dla usługi Okreslone usługi dla określonych klientów Antivirus Anti-spam\Malware Mail scanning Web Filtering VoIP 30
Zwirtualizowane usługi i usługodawcy pkt pkt MSP Klient A Int Klient B ext Klient C ext Int Int ext VE VE VE UTM-1 full-set UTM-1 Antivirus UTM-1 Web Filtering ESX Server 31
Nowy typ usług! Office in a box (SMB & Branch) Konsolidacja i wirtualizacja wszystkich serwerów fizycznych w jednym systemie Uproszczenie wdroŝenia VPN-1 VE chroni skonsolidowany system wirtualny, jak pozostałe elementy fizyczne w biurze oraz uŝytkowników Usługi VPN Wiele systemów SMB/BR moŝe być zarządzanych przez jeden serwer zarządzający 32
Office-in-a-box pkt Internet Ext VPN Tunnel Trunk port VE Int Trunk port V1 V2 V3 V4 Web DB FTP pkt V5 Service Console V6 V7 pkt 33
Stara usługa nowy sposób jej dostarczania! Disaster Recovery Zachowanie bezpieczeństwa w róŝnych scenariuszach DR Nie trzeba wdraŝać oddzielnych systemów fw w miejscu zapasowym DR on a Disk Błyskawiczne wdroŝenie - zero time 34
Czy uruchamianie VPN-1 VE na VMware jest bezpieczne? Hypervisor jest mniej naraŝony na atak zewnętrzny Nie ma IP na vswitch/hypervisor Nie nasłuchuje na portach we/wy Warstwa sieciowa hypervisora (vswitch) jest bardzo cienka (jak driver sieciowy) VE moŝe chronić konsolę serwisową KaŜdy pakiet przychodzący powinien być analizowany przez VE zanim osiągnie VM VMware ma mozliwości kontrolowania wykorzystania zasobów w celu zapobieŝenia atakowi DoS przez wrogi VM 35
Zintegrowane bezpieczeństwo - VMsafe VPN-1 VE pkt Firewall IPS/IDS Anti-Virus Security API ESX Server Tworzy nową, mocniejszą warstwę obronną fundamentalnie zmienia moŝliwości ochrony VM w stosunku do serwerów fizycznych Ochrona VM przez inspekcję wirtualnych komponentów (CPU, pamięć, sieć, storage) Kompletna integracja i współpraca z VMotion, Storage VMotion, HA itd. Okazuje się, Ŝe wirtualne moŝe być bezpieczniejsze niŝ fizyczne 36
Jak VPN-1 VE współpracuje VMsafe? MoŜliwość ochrony indywidualnych VM, nawet korzystających z tego samego vswitcha Współpraca z VMotion Inspekcja na poziomie hypervisora Wydajność, wydajność, wydajność 37
38
Wirtualizacja? All rights reserved, Dilbert. 2008 39
40
Kilka sznurków na koniec Bezpieczeństwo VMware http://www.vmware.com/security/ Check Point VPN-1 Power VSX http://www.checkpoint.com/ products/vpn-1_power_vsx/ Check Point VPN-1 VE http://www.checkpoint.com/products/vpn-1_ve/ http://www.vmware.com/appliances/directory/1323 41